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(57) Abstract 

The invention concerns a personal computer terminal for 
operating secure applications comprising means for communi- 
cating with another computer equipment, including means for 
authenticating the authorised user and means for transmitting 
to the computer equipment to which it is connected the out- 
come of the authenticating step. The invention also concerns 
a method for authenticating the user previous to a transaction 
between a computer terminal and a computer equipment, com- 
prising a step displaying at least one image, a step of selecting 
a zone of said image and a step of comparing the selected zone 
with data pre-recorded in the memory. 

(57) Abre*ge* 

La presente invention conceme un terminal informatique 
individuel pour r exploitation duplications sScurisees 
du type comportant des moyens de communication avec 
un autre equipement informatique, comportant un moyen 
d'authentification de Tutilisateur autorise* et des moyens 
pour la transmission a I'equipement informatique avec lequel 
il est en liaison le r6sultat de Tdtape d' authentication, le 
procdde* d'authentification d'un utilisateur prdalablement a une 
transaction entre un terminal informatique et un equipement 
informatique, comportant une e*tape d'affichage d'une image 
au moins, une 6tape de selection d'une zone de ladite image 
et une e*tape de comparaison entre la zone selectionnfie et des 
donnees prealablement enregistrees en m6moire. 
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TERMINAL INFORMATIQUE INDIVIDUEL SUSCEPTIBLE DE 
COMMUNIQUER AVEC UN EQUIPEMENT INFORMATIQUE D'UNE FACON 
SECURISEE, AINSI QU'UN PROCEDE D ' AUTHENT I FI CATION MIS EN 
OEUVRE PARLISDIT TERMINAL. 

La pr^sente invention concerne le domaine de la 
securisation de transactions inf ormatigues , et de l'acces a 
des eguipements inf ormatiques . 

On connait, dans l'etat de la technique, 
differentes solutions de securisation d'equipements 
inf ormatiques . 

Le brevet EP677801 concerne par exemple un 
systeme de saisie d'une information d' authentif ication sous 
forme graphique. Le moyen de saisie est attache a 
l'equipement inf ormatique , qui permet eventuellement un 
acces collectif. II est de ce fait impossible d'interdire 
une attaque de cryptanalyse par test systematique de 
configurations graphiques . 

Le brevet europeen EP101772 decrit une solution 
de securisation par analyse de caracteristiques physiques 
de 1 'utilisateur . La encore, il s'agit de moyens integres 
dans l'equipement inf ormatique lui-meme. L'acces a 
l'equipement permet de ce fait les attaques systematiques , 
et eventuellement le contournement physique des moyens de 
securite . 

Le brevet EP159539 concerne un systeme a cartes 
a puces destinees a §tre utilisees a la place d' argent, en 
tant que cartes d'identite ou en tant que support de 
memoire. Une seule carte a puce peut etre utilisee 
successivement pour differentes utilisations. Un circuit 
d ' evaluation, pour lequel est fixee une procedure 
determinee de selection est prevu pour etre certain que les 
zones afferentes au cas d ' utilisation considere et 
seulement ces zones sont associees. Le dispositif fixe 
contient pour sa part un dispositif qui, lors de la 
presence de plusieurs dispositifs mobiles dans 
1 ' environnement considere commande un acces multiple. Pour 



WO 99/03070 



2 



PCT/FR98/01477 



des applications par ticulieres , le dispositif d' entree- 
sortie reste pour 1'etat a la reception et emet 
automatiquement 1 1 information necessaire, lors de la 
reception/ a^partir .du poste fixe, d'un signal, avec lequel 
1 ' information d ' utilisation est transmise. 

Ce brevet ne decrit pas un moyen 
d' identification et d 1 authentif ication specif iquement lie a 
l'equipement portable. 

Le brevet PCT W093/11511 decrit Un dispositif 
d' interdiction d'acces commandant par 1 ' intermediate d'un 
moyen physique ou logique 1 ' acces humain a un objectif, tel 
qu'une zone a acces limite ou un systeme informatise, est 
commande au moyen d'un systeme de traitement de donnees 
possedant un acces a une memoire d ' utilisateurs autorises 
et a une memoire d* images complexes, part iculierement des 
images de visages humains . Chaque utilisateur autorise 
connait certaines des images complexes et ces images codees 
sont associees a un etat d'identite unique audit 
utilisateur. A reception d'un etat d'identite signifiant un 
utilisateur autorise, une matrice des images comprenant les 
images codees est presente a 1 1 utilisateur sur un 
dispositif d'affichage et, au moyen d'un dispositif 
d' entree approprie, ledit utilisateur doit identifier les 
images representant ces images codees, afin de confirmer 
1 ' autorisation et obtenir l'acces. Les memoires 
d'utilisateur et d ' images peuvent etre portees par une 
carte de credit en tant que section d'un disque optique. 
L ' extreme securite du systeme reside dans l'incapacite 
d'une per sonne a communiquer de fagon adequate a une autre 
personne la possibility de reconnaitre une tierce personne 
ou une autre image complexe. 

Le modele d'utilite G9304488.7 concerne un 
equipement portatif autonome comportant un moyen 
d' identification de 1 ' utilisateur . 

La presente invention concerne un terminal 
informatique individuel susceptible de communiquer avec un 
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equipernent inf ormatique collectif, ou du moins non reserve 
a un utilisateur unique, d'une fagon securisee, ainsi qu'un 
precede d' identification et d' authentif ication mis en ceuvre 
par ledit terminal. L * invention concerne un systeme de 
securisation d'un equipernent inf ormatique mettant en ceuvre 
plusieurs elements : 

- un equipernent inf ormatique "publique" 

- un terminal portable 

un moyen d ' identification et 
d' authentif ication de 1 ' utilisateur autorise. 

L' invention reside dans la repartition des 
fonctions de securite entre ces trois composants. 

L' equipernent informatique "publique" est 
accessible par un nombre po tentiel lement important 
d' utilisateurs, et notamment d 1 utilisateurs non autorises . II 
est difficile de garantir la securite de tels equipements, 
dans la mesure ou ils se pretent a des attaques systematiques 
qui certes peuvent se reveler f astidieuses , mais ne sont pas 
hors de portee d'une personne malintentionnee disposant d'un 
acces long a 1* equipernent publique. 

Le terminal portable est l'element 
complementaire de l'equipement "publique" d'une part et du 
moyen d ' identification d' autre part. Le fait qu'il soit 
portable permet d'en interdire physiquement 1' acces, par 
exemple en obligeant 1 1 utilisateur a le conserver sous sa 
responsabilite, ou a le ranger physiquement dans un lieu 
stir, par exemple une armoire forte. 

Le moyen d ' identification et d' authentif ication 
remplit une double fonction : il permet d'activer les 
fonctions de securite du terminal portable. II permet 
egalement a 1 ' utilisateur de verifier physiquement la 
nature du moyen d' identification et son integrite. II peut 
etre lie etroitement a 1 ' utilisateur autorise. 

Le domaine d' application englobe 1 ' utilisation 
privee, prof essionnelle et publique. Le passage' de 1'un a 
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1' autre s'effectue sous le controle de 1 ' utilisateur . Le 
domaine public est banalise. 

L' invention concerne dans sa forme la plus 
generale un- terminal individuel pour 1 ' exploitation 
d' applications securisees du type comportant des moyens de 
communication avec un autre equipement informatique 
publique caracterise en ce qu'il comporte un moyen 
d'authentif ication de 1 ' utilisateur autorise et des moyens 
pour la transmission a 1' equipement informatique avec 
lequel il est en liaison le resultat de 1'etape 
d' authentif ication. De preference, le moyen 
d' authentif ication est reconnaissable et verifiable par 
1 ' utilisateur autorise, et comporte des moyens 
d 1 identification verifiables par 1 ' utilisateur et des 
moyens d ' identification et d 1 authentif ication verifiables 
par le terminal portable qui sont physiquement lies. 

Selon une premiere variante, le moyen 
d'authentif ication est constitue par un afficheur propre a 
afficher une image au moins, et un moyen pour designer une 
zone au moins de 1' image, ainsi que par des moyens pour 
comparer la ou les zones designees avec les zones de 
r £f<§ rence prealablement enregistrees dans une memoire. 

Selon une deuxieme variante non exclusive, le 
moyen d ' authentif ication est constitue par un capteur 
d'empreinte digitale et par un calculateur propre a 
effectuer la comparaison entre les donnees fournies par le 
capteur d'empreinte digitale et des donnees prealablement 
enregistrees en memoire. 

Avantageusement , le moyen d ' authentif ication 
est constitue par un capteur vocal et par un calculateur 
propre a effectuer la comparaison entre les donnees 
fournies par le capteur vocal et des donnees prealablement 
enregistrees en memoire. 

Selon un exemple de realisation, le terminal 
comporte un moyen d ' acquisition tel qu'un clavier, un 
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stylo-scanner ou un moyen de reconnaissance vocale ou tout 
moyen de capture de caracteristiques biometriques . 

Avantageusement , le terminal comporte en outre 
un moyen pour^le rappel d'echeances. 

L' invention concerne egalement un procede 
d'authentif ication d'un utilisateur prealablement a une 
transaction entre un terminal informatique conforme a l'une 
des revendications precedentes, et un equipement 
informatique, caracterise en ce qu'il comporte une etape 
d'affichage d'une image au moins, une etape de selection 
d'une zone de ladite image et une etape de comparaison 
entre la zone selectionnee et des donnees prealablement 
enregistrees en memoire. 

Selon une variante particuliere de mise en 
ceuvre, la premiere etape consiste a choisir une image au 
moins parmi une pluralite d' images visualisees, 1' etape de 
comparaison comprenant une verification de ladite selection 
par rapport a une sequence prealablement enregistree. 

L' invention concerne egalement la juxtaposition 
des 3 types d'ecritures (en clair, ECO (Ecriture codee 
optique) et type Cederom) sur un ou plusieurs supports. 
Chaque support peut correspondre a un niveau d'acces. Les 
informations peuvent etre reparties partiellement ou en 
totalite entre ces trois types d'ecritures, ainsi que la 
communication entre deux terminaux par mise en contact 
physique direct ou indirect pour servir de support physique 
a une transmission de type ultrasonique . 

Le terminal heberge les fonctions de gestion de 
plusieurs comptes bancaires correspondants a des cartes ou 
a des cheques. Le choix est effectue par l'operateur. Par 
ailleurs, le terminal permet la gestion d' informations 
relatives a 1' existence sociale et patrimoniale de 
1 ' individu . 

La generation concomitante a chaque operation 
d'une PREUVE qui peut egalement servir de sauvegarde et 



WO 99/03070 



6 



PCT7FR98/01477 



d'archivage. Cette preuve est etablie de maniere 
contradictoire entre les deux parties communicantes . 

L ' invention sera mieux comprise a la lecture de 
la description qui suit, se referant aux dessins annexes 
oil : 

- la figure 1 represente une vue en perspective 
d'un terminal selon 1 ' invention ; 

- la figure 2 represente une vue en perspective 
de l'equipement informatique complementaire. 

L' invention est decrite en reference a un 
exemple non limitatif de realisation de 1' invention. 

Le terminal selon 1' invention est represente en 
figure 1 est constitue par un boitier (1) presentant sur 
une des faces un ecran de visualisation (2), un clavier (9) 
et une antenne (3) pour la communication hertzienne avec 
l'equipement complementaire. Le boitier presente egalement 
un capteur d'empreintes digi tales (4) et un microphone (5) 
ainsi qu'un haut-parleur (7). Dans 1' exemple de realisation 
decrit, le boitier comporte egalement un lecteur de carte a 
memoire (6)et une imprimante (8). 

L'equipement informatique complementaire est 
represente en figure 2. II comporte un ecran (11), une 
antenne (12) un haut-parleur (13) et un microphone (14). 

Le terminal individuel comporte des moyens 
d ' authentif ication de 1 ' utilisateur . L ' authentif ication 
peut etre realise par differents moyens. Un premier moyen 
est base sur la selection d' images et le cas echeant de 
selection de zones des images choisies. Ce procede consiste 
a choisir une ou plusieurs images parmi une pluralite 
d' images possibles. Ensuite, 1 'utilisateur devra choisir un 
ou plusieurs details des images selec tionnees . Ces 
informations sont memorisees lors de 1 ' initialisation du 
terminal en vue de sa personnalisation qui peut etre 
limitee dans le temps. L 'utilisateur devra ensuite a chaque 
utilisation proceder a la meme sequence de selection pour 
s ' identifier . De telles sequences presentent l'avantage 
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d'etre plus faciles a memoriser que des codes chiffres ou 
alphanumeriques . De plus, elles off rent un nombre eleve de 
combinaisons possibles et rendent plus difficile la 
recherche par' tatonnement de 1 ' identif iant . 

Un autre mode d' authentif ication qui peut 
s'ajouter au precedent consiste a utiliser un capteur 
biometrique tel qu 'un capteur d' empreintes digitales 
associe a un logiciel de comparaison avec des empreintes de 
reference de 1 ' utilisateur autorise. 

Un autre mode d' authentif ication qui peut 
egalement s'ajouter aux precedents consiste a mettre en 
ceuvre un moyen de reconnaissance vocal permettant 
d' analyser la voix de 1 ' utilisateur et de la comparer avec 
la voix de 1 ' utilisateur autorise prealablement enregistre. 

A 1' issue des operations d' authentif ication, si 
le porteur est authentifie par le terminal comme operateur 
autorise, il a acces aux f onctionnalites du terminal. II 
est possible de gerer plusieurs niveaux d' authentif ication 
et d'autorisation, en fonction des f onctionnalites 
accessibles 

II est egalement possible d'autoriser plusieurs 
utilisateurs pour un seul terminal. Il est egalement 
possible, dans ce cas, d'equiper chacun des utilisateurs 
autorises d'une carte d ' iden t i f ica t ion et 
d' authentif ication, notamment d'une carte sans contact, qui 
sera detectee par le terminal. Le terminal adaptera en 
reponse son contexte en fonction de 1 ' utilisateur du 
moment . 

Les entrees de coiranandes et d ' informations se 
font apres authentif ication par un moyen d' acquisition tel 
qu'un clavier(9), ou un microphone associe a un logiciel 
d' analyse de la parole, ou d'un stylo-scanner qui peut 
analyser des documents, des ecrans ou des objets divers. 

Apres avoir authentifie 1 ' utilisateur , le 
terminal peut commander differentes fonctions : 
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l'acces a une zone ou un equipement 
prealablement selectionne ; 

- 1' usage d'un equipement tel qu'un ordinateur, 
un photocopieur , une machine ; 

- la distribution de billets ou de regus 

(spectacles, services, ...) ; 

- la fonction de transpondeur individuel 
(identification et localisation a distance) limitee dans le 
temps et redeclenchable par une nouvelle authentif ication . 

Le terminal peut encore comporter un agenda 
pour la memorisation des operations effectuees a effectuer 
a une certaine echeance. Le terminal permet alors : 

- le declenchement d' actions a leur echeance, 
par exemple le renouvellement d'un contrat, le paiement 
automatique, rappel de vaccination etc. ; 

- la navigation automatique dans les clauses 
d'un contrant, en fonction d'evenements exterieurs ; 

l'aide a la verification de la bonne 
execution des operations, grace a 1 ' interaction des 
dif f erentes f onctionnalites . 

Afin de reduire les transferts d ' informations , 
il est utile de stocker les fichiers importants . Cela 
permet d'ameliorer la securite, la vitesse et la 
confidentiality. Pour assurer differents niveaux d'acces, 
il est recommande d' adopter la technique optique 
multisupports qui se decompose comme suit : 

Premier niveau : ecriture alphanumerique en 
clair, lisible par quiconque ; 

Deuxieme niveau : ecriture codee de type ECO, 
lecture generalisee par scanner ; 

Troisieme niveau d'acces securise : technologie 
Cederom chiffree, dispositif de lecture specif ique. 

Le terminal heberge dans un exemple de mise en 
oeuvre les fonctions de plusieurs cartes de paiement et de 
types de cheques. Le terminal charge les fonctirons et les 
parametres des differents moyens de paiement et de gestion 
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financiere, et cartes que l'on souhaite utiliser, ce qui 
permet d'eviter les pertes des cartes, cheques.... 

Le terminal comporte une imprimante (8) pour 
1 ' impression '-de caracteres alphanumeriques ainsi que pour 
1' edition de codes tels que des codes ECO, de preference 
avec scellement. A titre d'exemple, chaque operation 
dispose d'une surface d' impression d' environ 30mm sur 10 
mm, permettant d'inscrire deux lignes de 60 caracteres et 
une ligne recapitulative en code ECO. II est ainsi possible 
d'editer des cartes-preuve de la taille d'une carte 
bancaire, contenant le recapitulatif de 50 operations par 
face. 

Ces cartes-preuves seront conservees en lieu 
stir. Elles pourront servir de preuve pour les operations 
executees, mais aussi de sauvegarde en cas de perte ou de 
defaillance du terminal. 

La * preuve * est elaboree contradictoirement 
entre le terminal portable et le terminal fixe. Apres 
dialogue et accord, les deux equipements impriment le meme 
texte sur leur cartes-preuve respectives. 

La communication entre le terminal individuel 
et 1'equipement associe s'effectue par tout moyen connu : 

au contact, par fils et contacts 

electriques ; 

- par ultrasons. 

Dans ce dernier cas, le terminal possede une 
cellule piezo-electrique emettrice-receptrice qui peut etre 
mise en contact avec une plaque rigide de 1'equipement 
complementaire . Un protocole specif ique permet de gerer le 
dialogue et d' assurer la communication de type serie. Cette 
liaison permet d'utiliser de faibles puissances de 
transmission et done de reduire les perturbations 
electromagnetiques . 

Les applications sont multiples, et on peut 

citer : 
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- 1 'utilisation dans les restaurants : de sa 
table, le client peut se faire authentifier a l'aide de son 
terminal individuel. Ensuite, il peut interroger avec son 
terminal 1< equipement du restaurateur sur lequel la facture 
vient d'etre emise. Le client analyse alors sur 1 ' ecran de 
son terminal la reponse transmise par 1' equipement fixe. En 
cas d' acceptation, il declenche le paiement apres avoir 
choisi le moyen de paiement et 1 ' etablissement financier. 
Le dialogue s'etablit alors entre le terminal et 
1' equipement complementaire du restaurateur pour, gerer le 
transfert financier et 1' edition de la preuve sur chaque 
appareil. L' operation s'effectue en quelques secondes . Si 
le client quitte le restaurant avant le paiement, 
1' identification initiale effectuee lors de la commande du 
repas permettra au restaurateur de retrouver le client. 

- 1' utilisation dans le commerce de detail. 
Chez le commergant, le client prepare son terminal 
(authentif ication) a l'abri des regards indiscrets . Au 
moment du paiement, il pose son terminal individuel sur la 
table du commergant, equipee d'une liaison ultrasonore et 
lance le dialogue avec 1' equipement complementaire du 
commergant . 

L' invention est decrite dans ce qui precede a 
titre d'exemple non limitatif. Il est bien entendu que 
l'homme du metier sera a meme de realiser differentes 
variantes sans pour autant sortir du cadre de 1' invention. 
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REVEND I CAT I ONS 

1 - Terminal inf ormatique individuel pour 
1' exploitation d' applications securisees du type comportant 
des moyens de "communication avec un equipement inf ormatique 
collectif caracterise en ce qu'il comporte un moyen 
d' identification et d' authentif ication de 1 ' utilisateur 
autorise et des moyens pour la transmission a 1' equipement 
informatique avec lequel il est en liaison pour la 
transmission et 1 ' authentif ication reciproque des 
emetteurs/recepteurs et la transmission des ordres et des 
resultats issus des operations . 

2 - Terminal informatique selon la 
revendication 1 caracterise en ce que le moyen 
d' authentif ication est constitue par un afficheur (2) 
propre a afficher une image au moins, et un moyen pour 
designer une zone au moins de 1' image, ainsi que par des 
moyens pour comparer la ou les zones designees avec les 
zones de reference prealablement enregistrees dans une 
memo ire . 

3 - Terminal informatique selon la 
revendication 1 ou 2 caracterise en ce que le moyen 
d' authentif ication est constitue par un capteur d'empreinte 
digitale (4) et par un calculateur propre a effectuer la 
comparaison entre les donnees fournies par le capteur 
d'empreinte digitale (4) et des donnees prealablement 
enregistrees en memoire. 

4 - Terminal informatique selon la 
revendication 1 ou 2 caracterise en ce que le moyen 
d' authentif ication est constitue par un capteur vocal (5) 
et par un calculateur propre a effectuer la comparaison 
entre les donnees fournies par le capteur vocal (5) et des 
donnees prealablement enregistrees en memoire. 

5 - Terminal informatique selon 1 ' une 
quelconque des revendications precedentes caracterise en ce 
qu'il comporte un moyen d' acquisition tel qu'"un- clavier 
(9), un stylo-scanner ou un moyen de reconnaissance vocale. 
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6 - Terminal inf ormat ique selon 1 ' une 
quelconque des revendications precedentes caracterise en ce 
qu'il comporte en outre un moyen pour le rappel d'echeances 
et la gestion^des operations effectuees. 

7 - Terminal informatique selon 1 ' une 
quelconque des revendications precedentes caracterise en ce 
que le moyen d * authentif ication est reconnaissable et 
verifiable par 1 ' ut ilisateur autorise, et comporte des 
moyens d ■ identification verifiables par 1 ' utilisateur et 
des moyens d * identification et d • authent if ication 
verifiables par le terminal portable qui sont physiquement 
lies . 

8 - Procede d' authentif ication d'un utilisateur 
prealablement a une transaction entre un terminal 
informatique conforme a 1 ' une des revendications 
precedentes, et un equipement informatique, caracterise en 
ce qu'il comporte une etape d'affichage d'un image (11) au 
moins, une etape de selection d'une zone de ladite image et 
une etape de comparaison entre la zone selectionnee et des 
donnees prealablement enregistrees en memoire ; 

9 - Procede d ' authent if ication selon la 
revendication precedente caracterise en ce que la premiere 
etape consiste a choisir une image au moins parmi une 
pluralite d' images visualisees, 1' etape de comparaison 
comprenant une verification de ladite selection par rapport 
k une sequence prealablement enregistree. 

10 - Procede d ' authentif ication selon la 
reven di ca tion precedente caracterise en ce que Le 
dispositif peut egalement comporter un moyen de 
localisation de type GPS, permettant de conserver 
1' information du lieu de saisie et 1 ' enregistrement dudit 
lieu. 

11 - Procede d' authentif ication selon 1'une 
quelconque des revendications precedentes caracterise en ce 
que l'on procede a 1 ' etablissement d'une preuve ecrite (en 
clair et en ECO par exemple) resultant du constat de 
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1 'accord des parties apres dialogue contradictoire , 
majoritairement automatise et utilisant les moyens de 
communication et de traitements du terminal portable en 
question. 
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